Записи с меткой «Winlock»

Dr.Web

22 апреля 2013 года

Глядя на современную статистику распространения вредоносных программ, можно смело сказать, что троянцы-шифровальщики семейства Trojan.Encoder занимают в ней весьма высокие позиции. Компания «Доктор Веб» — российский разработчик средств защиты информации — предупреждает пользователей о массовом распространении двух новых модификаций этих троянцев – Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов. Специалисты «Доктор Веб» предлагают бесплатные рекомендации, которые помогут жертвам устранить последствия заражения этими вредоносными программи и расшифровать файлы.

Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Троянец Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 года. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на пятницу, 19 апреля 2013 года в службу технической поддержки компании «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215, при этом заявки продолжают поступать.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.», при этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).

Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Если вы стали жертвой указанных вредоносных программ, воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.
Реклама

19 февраля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — уже неоднократно публиковала новостные материалы, посвященные вредоносным программам семейства Trojan.Winlock. Подобные троянцы-вымогатели, блокирующие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за ее разблокировку, известны уже довольно давно. Тем не менее, одна из недавно обнаруженных версий данного троянца удивила даже повидавших всякое специалистов «Доктор Веб».

Троянцы-блокировщики семейства Trojan.Winlock демонстрируют своим жертвам требования об оплате на разных языках: например, в феврале 2012 года специалистами компании «Доктор Веб» была обнаружена вредоносная программа Trojan.Winlock.5490, угрожающая шариатским судом арабским пользователям, незадолго до этого в вирусные базы были добавлены винлоки на французском, немецком и итальянском языках. Однако вредоносная программа, получившая обозначение Trojan.Winlock.8026, озадачила вирусных аналитиков «Доктор Веб» прежде всего тем, что они так и не смогли определить, на каком языке написано отображаемое на экране заблокированного компьютера сообщение:

screen

Троянец представляет собой примитивную форму, созданную с использованием среды разработки Delphi, код которой содержит не меньше нелепых ошибок, чем демонстрируемый на экране текст. Форма разработана с помощью стандартного конструктора Delphi, ничем не упакована, исполняемый файл вредоносной программы занимает более 7 Мб, а все ресурсы (включая код разблокировки) хранятся в приложении в открытом виде. По всей видимости, коварный злоумышленник создавал эту грозную вредоносную программу второпях, пока родители не вернулись с работы и не заставили его делать домашнее задание по русскому языку. В качестве альтернативы можно предположить, что перед нами проявление итогов либерализации российского законодательства в области миграционной политики, благодаря которому трудовые мигранты из ближнего зарубежья, пока еще не в достаточной степени владеющие русским языком, постепенно осваивают все новые и новые специальности.

Сигнатура Trojan.Winlock.8026 успешно добавлена в вирусные базы, и потому троянец не представляет опасности для пользователей антивирусного ПО Dr.Web. Впрочем, он не представляет серьезной опасности и сам по себе: если по ошибке или в силу роковой случайности вы запустили данную вредоносную программу на своем компьютере, то, хорошенько отсмеявшись, воспользуйтесь кодом 141989081989 для его разблокировки.

16 ноября 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — сообщают о распространении нового троянца-блокировщика из нашумевшего семейства Trojan.Winlock – Trojan.Winlock.7372. От других винлоков этот троянец отличается тем, что не содержит в себе каких-либо текстов или графических изображений – он загружает их на инфицированный компьютер по сети. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.

Первые троянцы-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 года, а до этого данная схема криминального заработка была успешно обкатана злоумышленниками в России. Эта вредоносная программа распространяется с использованием семейства троянцев, известных как BackDoor.Umbra, также рассчитана на распространение среди жителей зарубежья (хотя имеются основания предполагать, что разработали ее наши соотечественники). Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянцев-вымогателей. Прежде всего, потому, что не содержит в себе каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу.

Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троянец отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта веб-страницу с требованием оплатить разблокировку операционной системы.

screen

Злоумышленники требуют у жертвы плату в размере 200 долларов, при этом подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянцев, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.

screen

Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

 

20 ноября 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

screen

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

screen

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

ИСТОЧНИК

Dr.Web® — инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз..

Аналитики антивирусной лаборатории компании «Доктор Веб» — российского разработчика средств информационной безопасности — зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Напомним, что троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились модификации Trojan.Winlock для зарубежных пользователей. В частности, совсем недавно был обнаружен Trojan.Winlock.5490, угрожающий французским пользователям Microsoft Windows.